Responsabilidad civil por el uso de sistemas de Inteligencia Artificial

Gonzalo Iturmendi Morales

Abogado, Socio y Director de Bufete G. Iturmendi y Asociados, SLP

Secretario General de AGERS (Asociación Española de Gerencia de Riesgos y Seguros)

Actualidad Civil, Nº 11, Sección Persona y derechos / A fondo, Noviembre 2020, Wolters Kluwer

LA LEY 14075/2020

I. Responsabilidad civil por el uso de sistemas de Inteligencia Artificial

Los sistemas que emplean la llamada Inteligencia Artificial (IA) son aquellos que funcionan de forma autónoma interpretando determinados datos de entrada mediante un conjunto de instrucciones predeterminadas, sin limitarse a ellas, a pesar de que el comportamiento del sistema esté orientado a cumplir el objetivo que se le haya asignado y esté limitado por este y por otras decisiones de diseño pertinentes tomadas por su desarrollador.

La IA, como ciencia que trata de estudiar el comportamiento inteligente a partir de modelos matemáticos, ha sido definida por la Comisión Europea como «un sistema basado en programas informáticos o incorporado en dispositivos físicos que manifiesta un comportamiento inteligente al ser capaz, entre otras cosas, de recopilar y tratar datos, analizar e interpretar su entorno y pasar a la acción, con cierto grado de autonomía, con el fin de alcanzar objetivos específicos». (1)

En sentido negativo, prescindiendo del concepto preciso de inteligencia, palabra en la que caben diferentes categorías, hoy en día aún no podemos identificar los sistemas que emplean la inteligencia de las máquinas con la de los humanos, ante la ausencia de conciencia y voluntad de la IA.

Tal y como conocemos hoy la IA es muy específica, solo se trabaja en entornos muy controlados, lo que la hace frágil a factores externos y poco robusta desde el punto de vista de la seguridad. A ello hay que unir su transversalidad, dada la enorme variedad y complejidad de sus aplicaciones; es decir, sus múltiples utilidades en función de los productos y servicios en los que está implicada, procesos en los que aparentemente resulta invisible de cara a los usuarios y organizaciones en las que está inmersa, pero sigue estando ahí presente en el sustrato de procesos de millones de productos y servicios que utilizan los modelos matemáticos de comportamiento inteligente que son utilizados a diario.

La robótica desarrolla tecnologías que permiten que las máquinas estén programadas y controladas automáticamente para realizar multiplicidad de funciones en el mundo físico, las cuales son realizadas por el ser humano mediante la IA o tecnologías conexas, que posibilitan que los programas informáticos controlen, con un grado de autonomía parcial o total, un proceso físico o virtual, siendo capaces de detectar los datos biométricos, genéticos o de otro tipo; y las tecnologías que copian o utilizan de otro modo características humanas.

Podemos afirmar que las herramientas empleadas en los sistemas de IA, la robótica y las tecnologías conexas (los programas informáticos, los algoritmos y los datos utilizados o producidos por dichas tecnologías), no son el problema. El problema lo constituye el mal uso que se haga de estas tecnologías. Nos encontramos ante un conjunto de tecnologías estratégicas que ofrece numerosas ventajas a particulares, empresas y la sociedad en su conjunto, gracias a las muchas aplicaciones que en ocasiones son gratuitas, atractivas, aparentemente inofensivas y de utilidad práctica. Estas aplicaciones penetran con facilidad en los consumidores, en tales casos no existe una percepción de los riesgos soportados, así como que, al utilizarlas, el producto verdaderamente es el propio usuario.

Por otro lado, acontece que quienes utilizan las redes sociales esperan que la tecnología que utilizan funcione de manera razonable y respete su confianza, ello a pesar de entrar en bucles en los que se produce un falso sentido de seguridad. Pues bien, los mensajes de aprobación realizados en redes sociales dejan rastro en las mismas, información que es susceptible de procesamiento. Para colmo, los buscadores de Internet no distinguen la verdad, ni lo que es ofensivo o no; la IA no es capaz de detectar las Fake News. Pese a los avances en materia de protección de derechos fundamentales, ahora mismo existe indefensión en los consumidores y usuarios por el uso de aplicaciones y dispositivos que emplean la IA.

No cabe duda sobre la utilidad o facilidad que implican multitud de aplicaciones y sistemas informáticos que utilizan algoritmos de IA en sus procesos, lo que nos está conduciendo paulatinamente a una sociedad en la que la tecnología parece que puede reemplazar paradigmas vigentes, una sociedad que cede la iniciativa a la IA autónoma e independiente del ser humano que va quedando en segundo plano. Sin embargo, en el balance de ventajas e inconvenientes de los avances tecnológicos hemos detectado un alto precio que son los efectos adversos graves por su clara transgresión de principios éticos, al amparo de la opacidad, la complejidad, la imprevisibilidad y un comportamiento parcialmente autónomo, que pueden dificultar la comprobación del cumplimiento de la legislación vigente de derechos fundamentales. Esa situación requiere el reequilibrio entre las partes implicadas por motivos de protección de dichos derechos y también la reparación del daño cuando se cause por los desarrolladores, los implementadores y los usuarios que pueden ser considerados responsables de cualquier lesión o daño causado a las personas o a la sociedad, en la medida que corresponda a su participación.

Los sistemas de IA integrados en productos, servicios y procedimientos de actuación pueden causar daños y perjuicios a las personas físicas y jurídicas y a la sociedad en general, mediante la vulneración de derechos fundamentales, así como de las normas de seguridad; daños y perjuicios cuya reparación y resarcimiento puede ser objeto de reclamación mediante el sistema de responsabilidad civil vigente, pese a sus limitaciones y dificultades probatorias a la hora de la reclamación, pero que en breve serán regulados mediante el Reglamento del marco de la Unión de principios éticos y obligaciones legales para el desarrollo, la implementación y el uso de la inteligencia artificial, la robótica y las tecnologías conexas en la Unión, cuyo ámbito de aplicación material se circunscribirá a la inteligencia artificial, la robótica y las tecnologías conexas cuando una parte de estas se desarrolle, implemente o utilice en la Unión, con independencia de que los programas informáticos, los algoritmos o los datos utilizados o producidos por dichas tecnologías estén localizados fuera de la Unión o no tengan una ubicación geográfica específica.

El Parlamento Europeo aprobó en octubre de 2020 las propuestas para regular la inteligencia artificial en la UE con el fin de promover la innovación, la ética y la confianza en la tecnología. Se espera la propuesta legislativa de la Comisión durante el año 2021, propuestas en las que confluyen cuestiones éticas, de responsabilidad civil y de derechos de propiedad intelectual. Normas, al fin, que «se aplicarán a cualquier actividad de inteligencia artificial, física o virtual, que provoque daños o perjuicios a la vida, la salud, la integridad física o la propiedad, o que provoque daños inmateriales significativos que den lugar a una pérdida económica verificable». (2)

Los fallos de seguridad puestos de relieve en los ciberataques representan una preocupación cada vez mayor en el sector financiero. (3) Las tecnofinanzas o servicios financieros impulsados por la tecnología, que están a caballo entre los servicios financieros y el mercado único digital, son vulnerables y los daños que puedan ocasionarse a raíz de las quiebras de seguridad pueden repercutir en daños y perjuicios no solo a las propias entidades financieras sino también a particulares, empresas, Sector Público y las propias organizaciones financieras y de seguros. (4)

Desde el punto de vista jurídico, y pese al vacío legal existente en la actualidad, la hoja de ruta que permita introducir principios éticos de la IA en el actual sistema legal ya está esbozada, tanto en el Unión Europea como en el resto del mundo. Por otro lado, las empresas van introduciendo comités éticos, protocolos de actuación y medidas de compliance legal tendentes a garantizar el cumplimiento de los principios éticos de la IA, aunque aquellos mecanismos de autocontrol no sean auditables por terceros, ni exista suficiente transparencia en sus operaciones que garantice los derechos de los usuarios.

La clave de la prevención de riesgos derivados del empleo de la IA está en la implementación de principios éticos como el trato justo, la responsabilidad proactiva, la seguridad, la transparencia, la formación y la evaluación, gestión y administración de estos riesgos; sin embargo, existen enormes dificultades de control de transparencia, tanto para los usuarios de las aplicaciones de IA, como para los órganos de control administrativo de una actividad que es transfronteriza, lo que motiva su difícil control al ubicarse en ocasiones en paraísos donde la exigencia de prevención de riesgos es insuficiente o inexistente. (5) Adicionalmente es probable que según avance el desarrollo tecnológico de la IA, aún surjan nuevos escenarios de riesgos escalofriantes que atenten a los principios éticos en detrimento de los valores de respeto de la dignidad humana, libertad, democracia, igualdad, no discriminación, Estado de Derecho y respeto de los derechos humanos.

Ante la zozobra que puede generar la impotencia del control de las aplicaciones de IA mediante algoritmos específicos diseñados para su supervisión, habría que plantearse previamente el dilema de si la actividad que aloja aquellos algoritmos resulta verdaderamente correcta —desde el punto de vista ético—, es decir, si los medios y la finalidad de la actividad que utilice la IA es éticamente responsable o no, con independencia de los sistemas de control ético que puedan implementarse para minimizar la exposición a los riesgos, dado que los medios de prevención y control de riesgos siempre serán limitados o insuficientes.

El análisis del diseño de algoritmos o programas informáticos de recopilación, almacenamiento y gestión de datos para crear o entrenar la IA, nos revela cómo la información personal puede llegar a discriminar a ciertos individuos por los datos manejados mediante el sesgo del desarrollador, que es quien toma decisiones que determinan y controlan el curso o la forma del desarrollo de la IA en cada caso. El origen del daño puede alojarse en el sesgo programado por el desarrollador, en tanto en cuanto suponga un juicio de valor personal o social previo de una persona o de un grupo de interés sobre la base de unas características concretas que induzca a una actuación cuyas consecuencias dañosas el perjudicado no tenga el deber de soportar.

Los más influyentes algoritmos son desarrollados generalmente por científicos e ingenieros de alta cualificación que se esmeran por aplicar principios de diseño bien contrastados. Como afirma Michael Kearns y Aaron Roth: «Los problemas derivan del propio diseño algorítmico, sobre todo cuando se maneja aprendizaje automático. menoscabando los derechos básicos de los ciudadanos individuales. Conjuntos de datos supuestamente anonimizados y modelos estadísticos filtran rutinariamente nuestra información personal más confidencial.» (6) Visto así el problema nos podría llevar al equívoco de que nos encontramos ante una responsabilidad civil profesional del diseñador del algoritmo. Sin embargo, la cuestión es mucho más compleja ya que, lo que originariamente parte de un algoritmo, se expande a otros ámbitos de responsabilidad que afectan a muchos más sujetos activos de responsabilidad como son los responsables legales, fabricantes e importadores de productos, prestadores de servicios, contratistas, subcontratistas, desarrolladores, e incluso los propios usuarios de los sistemas de IA.

Seguidamente centraremos nuestra exposición en dos escenarios de riesgos claramente diferenciados. Por un lado, la problemática de aquellos riesgos de responsabilidad civil que pueden surgir de la trasgresión de derechos fundamentales, la protección de los datos personales, la privacidad y la no discriminación. Y por otro lado, los riesgos relacionados con la seguridad y el funcionamiento correcto de productos y prestación de servicios que lleven integrados en sus procesos sistemas de IA.

II. Riesgos para los derechos fundamentales, protección de los datos personales, privacidad y no discriminación

La irrupción disruptiva de la tecnología digital ha puesto en riesgo la protección de los derechos fundamentales como los reconocidos en el Capítulo 3 de la Carta de los Derechos Fundamentales de la UE. La digitalización acelerada a la fuerza pone en riesgo la privacidad e igualdad, así como los principios de no discriminación (trato diferenciado de una persona o de un grupo de interés basado en un motivo que no tiene justificación objetiva o razonable alguna), diversidad, igualdad de género, derechos de los niños, las personas mayores y las personas con discapacidad. Como señala el Libro Blanco sobre la IA; «El uso de la inteligencia artificial puede afectar a los valores sobre los que se fundamenta la UE y provocar la conculcación de derechos fundamentales, como la libertad de expresión, la libertad de reunión, la dignidad humana, la ausencia de discriminación por razón de sexo, raza u origen étnico, religión o credo, discapacidad, edad u orientación sexual, y, en su aplicación en determinados ámbitos, la protección de los datos personales y de la vida privada, el derecho a una tutela judicial efectiva y a un juicio justo, o la protección de los consumidores.» (7) El documento de la Comisión Europea resalta que estos riesgos pueden ser resultado de defectos en el diseño general de los sistemas de IA o del uso de datos que puedan ser sesgados sin una corrección previa, en uno u otro caso la quiebra de los derechos fundamentales, de protección de los datos personales, privacidad y no discriminación puede generar la exigencia de responsabilidad civil.

Los avances tecnológicos —inteligencia artificial, automatización, robótica y tecnologías conexas— despliegan trasversalmente su influencia en todos los ámbitos de la sociedad, lo cual genera indefectiblemente un nuevo orden en la sociedad, en el que hay que evitar que la digitalización aumente las desigualdades y exclusiones de los ciudadanos, educar para las nuevas necesidades digitales ante el déficit de habilidades y evitar la desconfianza de la ciudadanía en la innovación, todo lo cual precisará revitalizar el contrato social (8) de los agentes implicados y el despliegue de una regulación europea que comenzó a tomar forma en campos como la protección de datos personales. (9)

1. Protección de datos personales, privacidad y no discriminación

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española (10) , su trasgresión puede dar lugar a la declaración de responsabilidad civil con la correspondiente indemnización de daños y perjuicios a las víctimas. (11)

El artículo 2, letra b), de la Directiva 95/46 define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción». En lo que atañe, en particular, a Internet, el Tribunal de Justicia ha tenido ocasión de declarar que la conducta que consiste en hacer referencia, en una página web, a datos personales debe considerarse un «tratamiento» de esta índole, en el sentido del mencionado artículo 2, letra b), de la Directiva 95/46. (12)

La multiplicidad de casuística posible por el uso de sistemas de IA que pueden afectar a derechos fundamentales es variadísima. Pensemos, por ejemplo, en el uso y la recogida de datos biométricos con fines de identificación remota en zonas públicas, como el reconocimiento biométrico o facial, entraña riesgos específicos para los derechos de protección de datos y privacidad. Particularmente ante los múltiples conflictos en materia de protección de datos en los que se dirimen la existencia o no de intromisión indebida de datos de carácter personal y sus correspondientes responsabilidades civiles, todos ellos han ido creando un cuerpo doctrinal en el que se resalta la idea de que, en lo concerniente al tratamiento de los datos personales, la finalidad normativa de protección de datos de carácter personal es garantizar y proteger, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar con su ámbito de aplicación, al tratarse de datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento y toda modalidad de uso posterior de estos datos por los sectores público y privado. (13)

El derecho a la reparación del daño mediante la declaración de responsabilidad e indemnización que corresponda se contempla en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que derogó la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD), norma general sobre el derecho fundamental a la protección de datos en la Unión Europea (UE). Particularmente en su artículo 82, se establece el principio general por el que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos y que cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el RGPD. El encargado solo responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. Por otro lado, cabe la exoneración de responsabilidad del responsable o encargado del tratamiento quien estará exento de responsabilidad si acredita que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, lo cual implica la consagración del principio de inexistencia de responsabilidad por inexistencia de causalidad entre la acción u omisión y el daño casado. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. Finalmente, cabe el derecho de reembolso mediante la acción de repetición, cuando un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados.

El desarrollo del derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales se produjo tras la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales (LORTAD), la cual fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales, que trasladó a nuestro derecho a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta norma definía el fichero como un conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso; también regulaba en su artículo 19.1 el derecho a indemnización, disponiendo que los interesados que, como consecuencia del incumplimiento de lo dispuesto en dicha Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos, tendrán derecho a la reparación del daño mediante la correspondiente indemnización, pudiendo solicitarse la indemnización mediante la acción civil que se ejercitará ante los órganos de la jurisdicción ordinaria cuando los ficheros sean de titularidad privada y ante la jurisdicción contencioso administrativa invocando el régimen de responsabilidad patrimonial del Sector Público cuando ficheros sean de titularidad pública. (14)

Como indicamos anteriormente, el RGPD consagró el principio por el que el tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial e hizo hincapié en la importancia de la circulación de los datos, con una visión más amplia del problema, al referirse al interés legítimo del responsable del tratamiento interesado, el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas, equipos de respuesta a incidentes de seguridad informática, proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. (15)

Desde la óptica de la responsabilidad civil el RGPD, refiriéndose a los riesgos para los derechos y libertades de las personas físicas, la misma puede tener su origen en el tratamiento indebido de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, cuando el tratamiento pueda daños por «discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.» (16)

Tan amplio espectro de posibles daños hace recomendable la implementación de la gestión de riesgos en esta materia, con la finalidad de identificar, prevenir, controlar y minimizar la exposición a los riesgos, tratando de evitar la causación de daños por la seguridad de los personales, tratamiento de los mismos ante la posible destrucción, pérdida o alteración accidental o ilícita de datos transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales. Dentro de esas medidas de gestión de riesgos deben incluirse las medidas organizativas tomadas por medio de una rápida comunicación con los interesados en caso de ocurrencia de un evento adverso con la finalidad de minimizar las consecuencias dañosas de los incidentes de violaciones de la seguridad de los datos personales continuas o similares. Tanto la oportunidad como la suficiencia o no de tales medidas de gestión de riesgos, deberán ser valoradas en los posibles conflictos de responsabilidad civil en esta materia.

En todo caso, el hecho de que el legislador se refiera a la licitud de los tratamientos no enerva la obligación de los responsables de adoptar todas las medidas de responsabilidad activa establecidas en el Capítulo IV del RGPD y en el Título V de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el RGPD es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan.

En este sentido el responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento indebido; sin embargo, podrán exonerar su responsabilidad si acreditan que no son responsables de los daños y perjuicios. El RGPD advierte que también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el RGPD y el Derecho de los Estados miembros, los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. Si los responsables o encargados participan en el mismo tratamiento, cada responsable o encargado debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable o encargado por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable o encargado que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables o encargados que hayan participado en el mismo tratamiento. (17)

2. Derecho al olvido

El derecho al olvido, o derecho de supresión, fue una de las novedades introducidas en materia de derechos en el RGPD, con motivo del aumento de la preocupación social sobre la huella dejada por particulares y organizaciones en la Web y que puede afectar a la protección de derechos fundamentales, como el honor intimidad, propia imagen, secretos de las comunicaciones, que pueden entrar en colisión con otros derechos fundamentales como la libertad de información. Este derecho proporciona a la persona física —el interesado— el control sobre sus datos personales, en particular, en el ámbito electrónico. Supone que el interesado podrá pedir la supresión de sus datos personales, así como que, cuando hayan sido publicados en el entorno electrónico, se informe a otros responsables del tratamiento al respecto con la finalidad de que supriman los enlaces, copias o réplicas de los datos personales.

El considerando 66 del RGPD explica que con la finalidad de reforzar el «derecho al olvido», el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Con ello dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.

La Sentencia del Tribunal Constitucional de 4 de junio de 2018 (STC 58/2018) reconoce el derecho al olvido como facultad inherente al derecho a la protección de datos personales y por tanto como derecho fundamental. (18)

El artículo 17 del RGPD aunque no termina de definir el derecho al olvido, establece en cuando podrá obtener la supresión el interesado sin dilación indebida del responsable del tratamiento de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales cuando concurra alguna de las circunstancias siguientes:

• a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
• b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) del RGPD, y este no se base en otro fundamento jurídico;
• c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1 del RGPD, datos personales que resultan necesarios para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (artículo 6.1.e del RGPD) o se basa en el interés legítimo del responsable del tratamiento o de un tercero (art. 6.1.f del RGPD); y —finalmente— no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2 del RGPD, que se refiere al uso con fines de mercadotecnia directa;
• d) los datos personales hayan sido tratados ilícitamente;
• e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
• f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 del RGPD, que se refiere a los niños.

Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1 del artículo 17 del RGPD, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

El Tribunal Constitucional en su Sentencia 292/2000 (19) declaró que el derecho al olvido se proyecta en el reconocimiento de un haz de facultades conferidas a su titular para oponerse a un uso ilegítimo de sus datos personales. No es un derecho fundamental ilimitado porque, aunque la Constitución no establece expresamente límites específicos resultan aplicables los límites derivados del respeto a otros derechos fundamentales, entre los que tiene especial relevancia la libertad de información que proclama el artículo 20 de la Constitución.

El Tribunal de Justicia de la Unión Europea dictó la reseñada Sentencia en el caso Costeja, de 13 de mayo de 2014 (asunto C-131/12), (20) que resolviendo una cuestión prejudicial planteada por la Audiencia Nacional, interpreta la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en la que subraya la necesidad de equilibrio entre los derechos fundamentales contrapuestos. En esa ponderación debe tenerse en cuenta el respeto a la vida privada y la protección de los datos personales cuando la búsqueda se lleva a cabo a partir del nombre de una persona física siendo necesario buscar un justo equilibrio entre este interés y el derecho fundamental de la persona afectada con arreglo a los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea. «Aunque con carácter general —matiza el Tribunal de Justicia— prevalecen estos derechos personalísimos sobre el mencionado interés de los internautas, lograr ese equilibrio puede depender de la naturaleza de la información de que se trate y el carácter «sensible» de la información para la vida privada de la persona afectada y del interés del público en disponer de esa información, que puede variar, en particular, en función del papel que dicha persona desempeñe en la vida pública», como se hizo eco la importante Sentencia del Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo de 17 Sep. 2020. (21)

Los apartados 1 y 2 del artículo 17 del RGPD establecen las excepciones por las cuales el derecho al olvido no se aplicará cuando el tratamiento sea necesario determinadas finalidades. Se trata de los límites del derecho al olvido, límites tales como el ejercicio del derecho a la libertad de expresión e información, específicamente contemplados el apartado 3 del artículo 17 del RGPD, para aquellos tratamientos de datos personales que sean necesarios:

• a) para ejercer el derecho a la libertad de expresión e información;
• b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
• c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3 del RGPD;
• d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1 del RGPD, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
• e) para la formulación, el ejercicio o la defensa de reclamaciones.

Será el órgano jurisdiccional competente quien dirima en cada caso la prevalencia de uno u otro derecho mediante la justa ponderación entre los derechos fundamentales afectados. La relevancia pública de la información viene determinada tanto por la materia u objeto de la misma, como por razón de la condición pública o privada de la persona a que atañe.

Finalmente, hemos de significar la diferencia entre el derecho al olvido y el derecho a la limitación del tratamiento, (22) por el que el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las siguientes condiciones contempladas en el artículo 18 del:

• a) que el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
• b) que el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
• c) que el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
• d) que el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

El ejercicio de este derecho se entiende sin perjuicio del ejercicio de los derechos de acceso, rectificación, supresión, oposición, a la portabilidad de los datos o a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, así como retirar el consentimiento prestado para el tratamiento de sus datos.

Cuando el tratamiento de datos personales se haya limitado por alguno de estos motivos, los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro. El interesado que haya obtenido la limitación del tratamiento por concurrir alguna de las causas señaladas, deberá informado por el responsable antes del levantamiento de dicha limitación.

Este derecho del interesado a la supresión de sus datos personales implica que pueda instar al interesado a que, cuando se dé alguno de estos supuestos, el responsable del tratamiento aplique las medidas necesarias para suprimir los datos personales. De acuerdo con el artículo 21, 2 del RGPD cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

III. Riesgos para la seguridad y el funcionamiento eficaz de productos y servicios

Los sistemas que emplean tecnologías de IA, la robótica y las tecnologías conexas pueden presentar nuevos riesgos de seguridad para los usuarios cuando tales tecnologías estén integradas en productos y servicios, ello independientemente de la responsabilidad civil profesional de los técnicos y profesionales responsables del diseño, ejecución y supervisión de estos sistemas.

Partimos de la base de que la capacidad jurídica es la aptitud de la persona, física (natural) o jurídica, para ser sujeto de derechos y obligaciones y tener la condición de titular de relaciones jurídicas. Por tanto, la capacidad jurídica la ostenta, por su condición de tal, toda persona física; y también la persona jurídica en la medida en que se la reconozca el Derecho. Sin embargo, los robots, las máquinas, los dispositivos y las aplicaciones que tienen integrados sistemas de IA carecen de personalidad jurídica entendida como reconocimiento por parte del ordenamiento jurídico de alguien como sujeto de derechos y de obligaciones. Esta cuestión previa es determinante a la hora de enmarcar el régimen de responsabilidad de los fabricantes de productos que lleven incorporados sistemas de inteligencia artificial e igualmente de los prestadores de servicios que empleen en sus procesos dichos sistemas, en la medida en que la exigencia de responsabilidad civil requiere la identificación de la persona física o jurídica titular de los derechos y obligaciones generados a raíz de los hechos generadores de tal responsabilidad, quedando supeditada la personalidad jurídica a un instrumento del ordenamiento legal al servicio de la finalidad de reparación de los daños y perjuicios originados en los perjudicados.

1. Responsabilidad civil por productos, servicios y procedimientos que utilizan sistemas de IA

Toda persona física o jurídica tiene derecho a obtener la reparación por las lesiones y los daños causados por el desarrollo, la implementación y el uso de la inteligencia artificial, la robótica y las tecnologías conexas, incluidos los programas informáticos, los algoritmos y los datos utilizados o producidos por dichas tecnologías, cuando se infrinjan el régimen jurídico y las obligaciones de gobernanza y diligencia en el debido control encaminadas a evitar y minimizar las consecuencias dañosas cuando se produzcan.

El régimen de responsabilidad actualmente aplicable en materia de responsabilidad civil de productos defectuosos pasa por la aplicación del Libro tercero del RDLeg. 1/2007, de 16 noviembre (TRLCU), como Ley especial que protege los derechos de los consumidores. Respecto de la responsabilidad civil de productos entre empresas y profesionales, son de aplicación las normas generales del Derecho de obligaciones y la responsabilidad civil extracontractual y contractual. Mientras que la responsabilidad civil por prestación de servicios precisa aplicar las normas clásicas de la responsabilidad civil extracontractual (art. 1902 y siguientes del Código Civil) y la responsabilidad contractual por el incumplimiento total o parcial de las obligaciones de carácter contractual (artículo 1101 y siguientes del Código Civil); tanto si se trata de arrendamiento prestación de servicios como de contrato de obra. Existe, por tanto, un doble ámbito de aplicación de la actual normativa de responsabilidad civil de productos defectuosos ya que, por un lado, el RDLeg. 1/2007, de 16 noviembre (TRLCU), está pensado para los conflictos entre los consumidores finales del producto y los fabricantes e importadores de los productos, entendiendo por consumidores o usuarios las personas físicas que actúen con un propósito ajeno a su actividad comercial, empresarial, oficio o profesión, considerándose también consumidores a efectos de la mencionada norma las personas jurídicas y las entidades sin personalidad jurídica que actúen sin ánimo de lucro en un ámbito ajeno a una actividad comercial o empresarial. Por tanto, el ámbito de protección del régimen de responsabilidad previsto en la norma comprende los daños personales, incluida la muerte, y los daños materiales, siempre que éstos afecten a bienes o servicios objetivamente destinados al uso o consumo privados y en tal concepto hayan sido utilizados principalmente por el perjudicado. Por tanto, no están en el ámbito de protección del régimen especial de responsabilidad civil de productos del RDLeg. 1/2007, los daños causados entre empresas, los daños causados a profesionales, así como cualquier otro daño personal o material, cuando éstos afecten a bienes o servicios no destinados al uso o consumo privados; en estos casos se aplicará el régimen jurídico general de responsabilidad civil de los arts. 1902 y concordantes del Código civil, en los casos de responsabilidad extracontractual y de los arts. 1101 y concordantes del mismo testo legal.

a) ¿Quién debe responder?

Esta es la primera cuestión que hay que abordar, ya que resulta imprescindible independizar y determinar a la persona física o jurídica que tiene la obligación de reparar el daño. Resulta necesario hacerlo con criterio práctico, sin caer en la quimera del otorgamiento a una máquina, software o sistema de IA de una responsabilidad autónoma ya que, todas estas nuevas tecnologías dependen de personas físicas o jurídicas que tienen que responder jurídicamente por los daños y perjuicios causados a terceros.

Efectivamente la doctrina se pregunta sobre si los robots y los sistemas de IA pueden ser considerados responsables por los actos u omisiones que causan daños a terceros, por el hecho de que dispongan de cierto grado de autonomía, pudiendo utilizar el «machine learning» hasta el punto de que sus actos puedan no estar bajo el control o supervisión humana. (23)

Nos preguntamos entonces sobre quién responderá de los daños y perjuicios sufridos en base a la utilización de los sistemas de IA. (24) Como es de sobra sabido el régimen de responsabilidad civil de productos defectuosos atribuye dicha responsabilidad a los fabricantes de los productos causantes del daño y a los importadores en la Unión Europea de dichos productos. Por otro lado, la responsabilidad civil por la prestación de servicios nace el incumplimiento de las obligaciones de los contratos o bien de arrendamiento de servicios o de prestación de obra, o bien por el defectuoso cumplimiento de dichas obligaciones, generando en ambos casos a responsabilidad civil de la que debe responder la persona física o jurídica obligada al cumplimiento de dichas obligaciones. Ahora bien, cuando intervienen robots y sistemas de inteligencia artificial la problemática es más compleja, sobre todo si tenemos en cuenta la capacidad de aprendizaje y autonomía de estas tecnologías.

La Propuesta de Resolución del Parlamento Europeo con las recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica, estableció las bases para el desarrollo ulterior del marco legal de la robótica, la IA, y las tecnologías conexas, (25) con especial atención al problema de la obligación legal que se espera de reparar los daños y perjuicios cuando sean causados con motivo del uso de estas tecnologías. La Propuesta partía de la base de que estos avances tecnológicos no solo pueden realizar actividades que antes eran típica y exclusivamente humanas, sino que el desarrollo de determinados rasgos cognitivos autónomos, ha hecho que los mismos se asimilen cada vez más a agentes que interactúan con su entorno y pueden modificarlo de forma significativa; que, en este contexto, es crucial la cuestión de la responsabilidad jurídica por los daños que pueda ocasionar la actuación de los robots. Define la autonomía de un robot como la capacidad de tomar decisiones y aplicarlas en el mundo exterior, con independencia de todo control o influencia externos; que esa autonomía es puramente tecnológica y que será mayor cuanto mayor sea el grado de sofisticación con que se haya diseñado el robot para interactuar con su entorno.

En todo caso el sujeto activo responsable de los daños y perjuicios quedará determinado tanto por su condición de responsable por determinación legal, como por su participación en los hechos a tenor de su condición de fabricante o importador en la Unión Europea del producto, prestador del servicio, diseñador del algoritmo, desarrollador, responsable de procesos, usuario o cualquier otra persona física o jurídica que deba ejercer el debido control sobre los sistemas de IA.

b) ¿Frente a quién se debe responder?

Los perjudicados son todos aquellos que han sufrido un daño o perjuicio, cualquiera que sea su naturaleza.

Las víctimas pueden ser directas, indirectas y allegados.

Son víctimas directas todas aquellas personas físicas o jurídicas que hayan sufrido un daño o perjuicio, sobre su propia persona o patrimonio, en especial lesiones físicas o síquicas, daños emocionales, daños morales objetivos y subjetivos o perjuicios económicos directamente causados por la acción causante del daño o perjuicio. Por otro lado pueden considerarse víctimas indirectas —en caso de muerte— cinco categorías autónomas de perjudicados: el cónyuge viudo, los ascendientes, los descendientes, los hermanos y los allegados. Esta última categoría de allegados se refiere aquellas personas que, sin tener la condición de perjudicados según las reglas anteriores, hubieran convivido familiarmente con la víctima durante un mínimo de cinco años inmediatamente anteriores al fallecimiento y fueran especialmente cercanas a ella en parentesco o afectividad.

c) ¿Estamos ante una nueva categoría de responsabilidad?

Las modernas tecnologías que utilizan sistemas de IA están adquiriendo un nivel de complejidad que no se corresponde con las estructuras tradicionales que rigen los patrones del régimen jurídico de la responsabilidad civil, ya que dichos patrones fueron diseñados para un mundo lineal y simplificado que, sencillamente, está evolucionando. Esa complejidad se irá poniendo de manifiesto conforme los sistemas de IA se hagan más autónomos e independientes del control del ser humano, lo que requerirá una adecuación del resarcimiento para la reparación de los daños y perjuicios, a las estructuras de los sistemas complejos de la IA.

La pregunta de si la normativa general sobre responsabilidad es suficiente o no suficiente en estos momentos parece obligada. Todo parece apuntar a que se requieren normas y principios específicos que aporten claridad sobre la responsabilidad jurídica de los distintos agentes y su responsabilidad por los actos y omisiones de los sistemas de IA, cuya causa no pueda atribuirse a un agente humano concreto, y de si los actos u omisiones de los sistemas de IA causantes de daños que podrían haberse evitado. Hemos de aclarar que tal disquisición —en nuestra opinión— puede resultar irrelevante en estos momentos de ausencia de regulación específica en la materia, ya que el jurista se ve obligado a recurrir a las fuentes legales vigentes para resolver cualquier conflicto de responsabilidad civil, tales como el régimen jurídico de responsabilidad por productos defectuosos, la responsabilidad por prestación de servicios, la responsabilidad profesional de los diseñadores y desarrolladores de los sistemas de IA y la responsabilidad de los usuarios que utilicen o incorporen dichos sistemas a sus productos finalmente terminados.

La cuestión de si el marco jurídico vigente de aplicación de la Directiva 85/374/CEE, (26) bastaría o no para cubrir los daños causados por la nueva generación de robots, es enormemente discutible, más si tenemos en cuenta que la laguna legal al respecto obliga necesariamente a aplicar la normativa existente, que ciertamente no tuvo en cuenta al momento de su elaboración la capacidad de adaptación de comportamientos de estos avances tecnológicos, que pueden aprender de forma autónoma de sus experiencias concretas e interactuar con su entorno de un modo imprevisible. Lo que parece más que justificado es que la responsabilidad civil por los daños y perjuicios causados por los sistemas de IA debe analizarse y abordarse a escala de la Unión, al igual que se hizo en el año 1985 la responsabilidad civil de productos defectuosos, con el fin de garantizar el mismo grado de eficiencia, transparencia y coherencia en la garantía de la seguridad jurídica en toda la Unión Europea en beneficio de los ciudadanos, los consumidores y las empresas.

Está abierto el debate de si la autonomía de los sistemas de IA puede justificar la cuestión de su naturaleza y de si pertenecen a una de las categorías jurídicas existentes o si debe crearse una nueva categoría con sus propias características jurídicas. En este sentido en el actual marco jurídico, los robots no pueden ser considerados responsables legales de los actos u omisiones que causan daños a terceros, dado que las normas vigentes en materia de responsabilidad contemplan los casos en los que es posible atribuir la acción u omisión de un producto o servicio con IA a un agente humano concreto —como el fabricante, el operador, el propietario o el usuario— y en los que dicho agente podía haber previsto y evitado el comportamiento del robot que ocasionó los daños; que, además, los fabricantes, los operadores, los propietarios o los usuarios podrían ser considerados objetivamente responsables de los actos u omisiones de un robot. En consecuencia, por un lado, el fabricante de un producto que incorpore sistemas de IA es responsable de los daños causados por su mal funcionamiento y por otro el usuario de un producto es responsable de un comportamiento que deriva en un perjuicio, ello sin perjuicio del derecho de repetición que tendrán los fabricantes, los prestadores de servicios y los usuarios frente a los profesionales que diseñaron, y desarrollaron los sistemas de IA causantes del daño.

Resulta evidente que, en el supuesto de que un robot o un sistema de IA pueda tomar decisiones autónomas, las normas tradicionales no bastarán para generar responsabilidad jurídica por los daños ocasionados. Lo mismo pasa en el marco jurídico vigente de la responsabilidad contractual, de ahí la necesidad de que los productos y servicios que utilicen sistemas de IA deban respetar de forma preventiva los principios de seguridad, transparencia, rendición de cuentas, ausencia de sesgo, de no discriminación, responsabilidad social e igualdad de género, derecho de reparación, sostenibilidad medioambiental, privacidad y buena gobernanza, tras una evaluación de riesgos imparcial, objetiva y externa realizada por la autoridad de control y supervisión competente que tenga en cuenta las opiniones del desarrollador o del implementador, así como cualquier autoevaluación realizada por ellos. «Para ser fiables, la inteligencia artificial, la robótica y las tecnologías conexas de alto riesgo, incluidos los programas informáticos, los algoritmos y los datos utilizados o producidos por dichas tecnologías, deben desarrollarse, implementarse y utilizarse de manera segura, transparente y responsable, con arreglo a características de seguridad tales como la solidez, la resiliencia, la seguridad, la exactitud y la detección de errores, la explicabilidad, la interpretabilidad, la auditabilidad, la transparencia y la identificabilidad, y de tal manera que sea posible desactivar las funcionalidades en cuestión o volver a un estado anterior que restaure unas funcionalidades seguras, en caso de que no se respeten dichas características. Debe garantizarse la transparencia permitiendo el acceso de las autoridades públicas, cuando sea estrictamente necesario, a la tecnología, los datos y los sistemas informáticos en que se basan dichas tecnologías». (27)

2. Obligaciones de los sistemas de IA de alto riesgo

El Proyecto de Reglamento del marco regulador de la Unión de principios éticos y obligaciones legales para el desarrollo, la implementación y el uso de la inteligencia artificial, la robótica y las tecnologías conexas, introduce un concepto jurídico indeterminado cuando se refiere al «alto riesgo» de las tecnologías de IA, vinculando dicho concepto a la causación de lesiones o daños a las personas o a la sociedad, vulnerando los derechos fundamentales y las normas de seguridad establecidas en el Derecho de la Unión, teniendo en cuenta su uso o finalidad específicos, el sector en el que se desarrollan, implementan o usan y la gravedad de las lesiones o daños que cabe esperar que se produzcan, considerando que, a efectos de evaluar si las tecnologías de inteligencia artificial entrañan un riesgo de ese tipo, teniendo en cuenta el sector en el que se desarrollan, implementan o utilizan, su uso o finalidad específicos (criterios acumulativos) y la gravedad de la lesión o daño que cabe esperar que se produzca.

La calificación de alto riesgo debe ser consecuencia de una previa evaluación de riesgos basada en criterios objetivos, como su uso o finalidad específicos, el sector en el que se desarrollan, implementan o utilizan, y la gravedad de los posibles daños o lesiones causados, se determine que su desarrollo, implementación o uso entrañan un riesgo significativo de causar a las personas o a la sociedad las lesiones o daños que cabe esperar que se produzcan, vulnerando los derechos fundamentales y las normas de seguridad establecidas en la normativa aplicable en cada caso. La evaluación de riesgos de estos sistemas debe llevarse a cabo de acuerdo con los criterios objetivos mencionados y en la lista exhaustiva y acumulativa que especifica como sectores de alto riesgo los siguientes: Empleo, Educación, Asistencia sanitaria, Transporte, Energía, Sector público (asilo, migración, controles fronterizos, sistema judicial y servicios de seguridad social), Seguridad y defensa, Finanzas, bancos, seguros. Y como usos y fines de alto riesgo los siguientes: Contratación, Clasificación y evaluación de Estudiantes, Asignación de fondos públicos, Concesión de préstamos, Comercio, corretaje, fiscalidad, Tratamientos y procedimientos Médicos, Procesos electorales y campañas políticas, Decisiones del sector público que tienen un impacto significativo y directo en los derechos y las obligaciones de las personas físicas o jurídica, Conducción automatizada, Gestión del tráfico, Sistemas militares autónomos, Producción y distribución de energía, Gestión de residuos y Control de emisiones.

Está previsto que cada Estado miembro designe una autoridad pública independiente encargada de controlar la aplicación del futuro Reglamento («autoridad de control») y de llevar a cabo la evaluación de riesgos, la evaluación de la conformidad y el certificado correspondiente, sin perjuicio de la legislación sectorial. Para ello las autoridades de control de cada Estado miembro cooperarán entre sí, con la Comisión y con otras instituciones, órganos y organismos pertinentes de la Unión que puedan designarse a tal fin. En caso de sospecha de incumplimiento cada autoridad nacional de control velará del posible incumplimiento de los principios éticos y las obligaciones legales, incluido el trato discriminatorio o la violación de otros derechos, como resultado del desarrollo, la implementación o el uso de estas tecnologías. En tales casos, la autoridad nacional de control correspondiente llevará a cabo una evaluación de la conformidad con el fin de respaldar el derecho de impugnación y obtención de reparación de que gozan los ciudadanos. La autoridad nacional de control será responsable de supervisar la aplicación de las correspondientes reglas y normas de gobernanza nacionales, europeas e internacionales aplicables en cada caso, colaborando con el mayor número posible de partes interesadas. Se creará un foro que permita el intercambio periódico con y entre las partes interesadas de las esferas académica, de la investigación, de la industria y de la sociedad civil, con ello se pretende promocionar, orientar y apoyar a las organizaciones de investigación y desarrollo involucradas pertinentes y a las pequeñas, medianas empresas o las empresas emergentes respecto de las de los principios éticos y las obligaciones legales que conlleva el empleo de los sistemas de IA.

Cada autoridad nacional de control expedirá un certificado europeo de conformidad ética cuando se haya realizado una evaluación de la conformidad de la inteligencia artificial, la robótica y las tecnologías conexas de alto riesgo, incluidos los programas informáticos, los algoritmos y los datos utilizados o producidos por dichas tecnologías. Cuando se trate de desarrolladores, implementadores o usuarios de inteligencia artificial, robótica y tecnologías conexas que no se consideren de alto riesgo podrán también solicitar que se certifique el cumplimiento de las obligaciones establecidas en el futuro Reglamento cuando así lo justifique la naturaleza de la tecnología en cuestión, conforme a lo decidido por las autoridades nacionales de control.

3. Requisito de la acción relevante, obligaciones para eliminar o paliar los daños de los sistemas de IA

El control de riesgos de responsabilidad pasa necesariamente por la calidad, el cumplimiento normativo y los compromisos éticos y sociales voluntariamente asumidos por quienes operen con sistemas de IA.

La relevancia del cumplimiento de las obligaciones incide directamente en el primero de los requisitos de la responsabilidad civil, la acción u omisión relevante de la persona física o jurídica que opere con sistemas de IA.

El artículo 3 del Reglamento 2015/2120 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 por el que se establecen medidas en relación con el acceso a una Internet abierta, contempla el principio de salvaguardia del derecho de acceso a internet abierta, por el que los usuarios finales tendrán derecho a acceder a la información y contenidos, así como a distribuirlos, usar y suministrar aplicaciones y servicios y utilizar los equipos terminales de su elección, con independencia de la ubicación del usuario final o del proveedor o de la ubicación, origen o destino de la información, contenido, aplicación o servicio, a través de su servicio de acceso a internet. La mencionada disposición, apartado 3, del Reglamento 2015/2120, impone a los proveedores de servicios de acceso a Internet una obligación general de tratar el tráfico de manera equitativa, sin discriminación, restricción o interferencia, obligación que, como declara la Sentencia del Tribunal de Justicia de la Unión Europea, Sala Gran Sala, de 15 Sep. 2020, C-807/2018, «en ningún caso, puede ser obviada mediante prácticas comerciales puestas en marcha por estos proveedores o mediante acuerdos que estos celebren con usuarios finales».

Además de las obligaciones relativas a la intimidad y protección de los datos personales ya analizadas, existen obligaciones en relación con la responsabilidad social e igualdad de género, por las que estas tecnologías no deben interferir en elecciones, ni tampoco deberán contribuir a la difusión de desinformación. Por otro lado, deberán respetar los derechos de los trabajadores, así como promover una educación de calidad y la alfabetización digital. No aumentarán la brecha de género, ni la desigualdad de oportunidades para todos. Tampoco vulnerarán los derechos de propiedad intelectual o cualesquiera de sus limitaciones o excepciones

Respecto de la sostenibilidad medioambiental estas tecnologías serán evaluadas por las autoridades nacionales de control a las que antes hicimos referencia quienes velarán por que se adopten medidas para mitigar y remediar su impacto general en lo que respecta a los recursos naturales, el consumo de energía, la producción de residuos, la huella de carbono, la emergencia climática y la degradación del medio ambiente, a fin de garantizar el cumplimiento de la legislación y el de cualesquiera otros compromisos internacionales en materia medioambiental.

La inexistencia de sesgo y discriminación es de obligado cumplimiento, de forma que estos sistemas no podrán discriminar por motivos de raza, sexo, orientación sexual, embarazo, discapacidad, características físicas o genéticas, edad, minoría nacional, origen étnico o social, lengua, religión o creencias, opiniones políticas o participación cívica, nacionalidad, estado civil o económico, educación o antecedentes penales. Solo podrá justificarse el trato diferenciado entre personas o grupos de personas cuando exista una finalidad objetiva, razonable y legítima que sea proporcionada y necesaria en la medida en que no exista otra alternativa que interfiera menos con el principio de igualdad de trato.

En cualquier caso, los sistemas de IA deberán cumplir con los principios de seguridad, transparencia y rendición de cuentas.

Los sistemas de IA deben garantizar que se desarrollan, implementan y utilizan de manera resiliente a fin de garantizar un nivel de seguridad adecuado gracias al cumplimiento de unos parámetros mínimos de ciberseguridad proporcionales al riesgo identificado, y de evitar que ninguna vulnerabilidad técnica se explote con fines malintencionados o ilícitos. Deberán garantizar la existencia de salvaguardias que incluyan un plan alternativo y medidas en caso de riesgo para la seguridad así como garantizar un rendimiento fiable conforme a lo que el usuario pueda esperar razonablemente respecto de la consecución de los objetivos y la realización de las actividades para las que han sido concebidas, en particular garantizando la reproductibilidad de todas las operaciones y la exactitud de la realización de los objetivos y de las actividades de las tecnologías concretas; cuando no sea posible evitar inexactitudes ocasionales, el sistema indicará a los implementadores y los usuarios, en la medida de lo posible y a través de los medios adecuados, la probabilidad de que se produzcan errores e inexactitudes. Finalmente deberá garantizarse la revisión de los procesos técnicos de las tecnologías de manera que informen a los usuarios de que están interactuando con sistemas de inteligencia artificial, y revelan debidamente y de manera exhaustiva sus capacidades, exactitud y limitaciones a los desarrolladores, los implementadores y los usuarios de IA para desactivar temporalmente las funcionalidades en cuestión y volver a un estado anterior que restaure unas funcionalidades seguras.

A propósito del principio de transparencia y rendición de cuentas, el desarrollo, implementación y utilización de estos sistemas deberá realizarse de manera transparente y con la posibilidad de rendición de cuentas o auditabilidad, de modo que sus elementos, procesos y fases estén documentados con arreglo a las normas aplicables más estrictas posibles y que las autoridades nacionales de control puedan evaluar que dichas tecnologías cumplen las obligaciones establecidas en la normativa aplicable. En particular, los desarrolladores, implementadores o usuarios de dichas tecnologías serán los encargados de garantizar la conformidad de las medidas de seguridad anteriormente mencionadas.

4. Criterio de imputación de responsabilidad objetiva

La responsabilidad de los fabricantes de productos, prestadores de servicios, operadores y desarrolladores de sistemas de IA está muy cerca de la responsabilidad objetiva sin culpa tal y como la conocemos en nuestro régimen jurídico de responsabilidad civil.

Resulta relevante el criterio de imputación de responsabilidad civil basado en que la misma debería ser proporcional a las instrucciones impartidas a los sistemas de IA y a su grado de autonomía o capacidad de aprendizaje, imputación basada en el diseño y seguimiento por parte de los desarrolladores del aprendizaje y entrenamiento del sistema. Sin embargo, no debe ser el único criterio de imputación a considerar, sino que debe conjugarse con el criterio de previsibilidad, evitabilidad del daño y grado de cumplimiento de las normas de gobernanza establecidas de conformidad con la legislación, los principios y los valores de la Unión Europea y por las autoridades nacionales de control. Dicho de otra forma, si bien el entrenamiento y grado de aprendizaje de los sistemas de IA es relevante, en la etapa actual, la imputación de la responsabilidad debe basarse en la manera de llevarse a cabo las labores del control humano (persona física o jurídica) que son quienes, a la postre, resultan responsables de la implementación de las normas de las directrices metodológicas que deberán seguir los desarrolladores; visto así responsabilidad sería imputable a quien pudo y debió haber evitado el daño en cada caso concreto, mediante los sistemas de prevención de riesgos del producto, servicio o proceso, no pudiendo recaer en el sistema de IA que —hoy por hoy— carece de personalidad jurídica, sino en el promotor de la actividad y quien obtiene un beneficio de la misma. Este razonamiento nos sitúa muy cerca del planteamiento de la responsabilidad objetiva propugnado inicialmente en el seno de la Unión Europea por el que consideraba que el futuro instrumento legislativo en materia de responsabilidad civil de estos sistemas, debería basarse en un enfoque de la responsabilidad objetiva que exigiría únicamente acreditar la producción daño o perjuicio y el establecimiento de un nexo causal entre el funcionamiento perjudicial del sistema de IA y los daños o perjuicios causados a la persona que los haya sufrido. (28)

Parece difícil la aplicación de las normas vigentes sin la actualización del marco legal a escenarios tan novedosos para el ser humano como los que pueden manifestarse a raíz del empleo de sistemas de IA. Ello es así por tratarse de u fenómeno en constante evolución tecnológica, del que aún no tenemos suficiente información. Cuando concurran los requisitos para la reparación de los daños y perjuicios el juzgador resolverá conforme al principio de prohibición de «non liquet» y el «principio de no alteración del derecho preexistente», debiendo tener en cuenta las dificultades de acreditación respecto de los requisitos de la acción, el daño, el nexo de causalidad y el criterio objetivo de imputación de la responsabilidad que parece que terminará imponiéndose en esta materia. Señalamos como dificultades a considerar la

de transparencia para identificar los algoritmos subyacentes en los sistemas de IA, la posible masividad del daño y la dificultad de prueba a la hora de acreditar el nexo de causalidad, pese a que se termine aplicando una presunción de causalidad legal cuando no pueda determinarse la causalidad material.

Especial atención merece el criterio de imputación en los vehículos conectados y autónomos ya que existe una línea roja que separa el actual sistema del riesgo de la conducción de vehículos a motor y el vehículo autónomo comunicado que no requiere la intervención del ser humano para circular. La cuestión es trascendente en esta actividad considerada de alto riesgo, ya que todo el marco regulatorio del automóvil y su aseguramiento de responsabilidad civil se basa en la posibilidad de control del conductor que gobierna el vehículo, aun cuando el vehículo disponga de múltiples dispositivos tecnológicos que hacen más cómoda la conducción, pero requieren siempre la presencia del conductor que es quien, a la postre, toma las decisiones propias de quien tiene el gobierno del automóvil.

Podemos afirmar que esa línea roja no aparecerá mientras que, de una u otra forma, sea necesaria la mínima intervención del conductor, lo cual hace pensar que, a corto plazo, viviremos un período transitorio en el que el vehículo, a pesar de contar con múltiples dispositivos tecnológicos, siga siendo gobernado por el ser humano. Es muy previsible que este período transitorio o mixto de conducción cuasiautónoma, será aprovechado para adaptar las ciudades y las vías públicas para el uso de los vehículos autónomos comunicados. Mientras transcurra ese período, tanto el marco legal que regula la circulación del automóvil, como las soluciones aseguradoras, seguirán siendo análogas a las actuales con pequeñas adaptaciones.

La autonomía de un robot es la capacidad de tomar decisiones y aplicarlas en el mundo exterior, con independencia de todo control o influencia externos; que esa autonomía es puramente tecnológica y es mayor en función del grado de sofisticación con que se haya diseñado el robot para interactuar con su entorno.

La Ley de 35/2015, de 22 de septiembre, que modifica el Texto Refundido de la Ley sobre responsabilidad civil y seguro en la circulación de vehículos a motor, aprobado por el Real Decreto Legislativo 8/2004, de 29 de octubre, establece en su art. 1.1. que el conductor de vehículos a motor es legalmente responsable, en virtud del riesgo creado por la conducción de estos, de los daños causados a las personas o en los bienes con motivo de la circulación. En el caso de daños a las personas, de esta responsabilidad sólo quedará exonerado cuando pruebe que los daños fueron debidos a la culpa exclusiva del perjudicado o a fuerza mayor extraña a la conducción o al funcionamiento del vehículo; «no se considerarán casos de fuerza mayor los defectos del vehículo ni la rotura o fallo de alguna de sus piezas o mecanismos». La no equiparación legal a los supuestos de fuerza mayor, como causa de exoneración de responsabilidad, de los defectos del vehículo, ni la rotura o fallo de alguna de sus piezas o mecanismos, impide su invocación por parte del conductor del vehículo que será el responsable, en virtud del riesgo creado por la conducción del mismo, de los daños causados a las personas o en los bienes con motivo de la circulación.

Finalizado el período transitorio, cuando el automóvil sea plenamente autónomo y no dependa del ser humano para ningún proceso de control de la conducción, precisamente en ese momento, tanto el marco legal como los distintos seguros relacionados con la circulación de vehículos a motor (daños propios, obligatorio y voluntario de responsabilidad civil, accidentes, riesgos extraordinarios, etc.), cambiarán necesariamente para adaptarse a las necesidades de los nuevos escenarios de riesgos.

5. El daño

Respecto del requisito del daño, como elemento esencial de la responsabilidad civil, debe tener las siguientes características, debe ser real, es decir, que pueda probarse su existencia, evaluable económicamente y constituir una lesión física o mental, o bien daño material o inmaterial, incluso cuando hayan sido causados por incitación al odio, sesgo, discriminación o estigmatización, tales como pérdidas financieras o económicas, pérdida de empleo o de oportunidades educativas, restricción indebida de la libertad de elección o de expresión, pérdida de la privacidad y cualquier infracción del régimen jurídico aplicable que sea perjudicial para una persona.

Un problema particularmente preocupante es la posibilidad de aplicar el régimen de responsabilidad civil sin daño en los supuestos del principio de cautela o precaución formulado en el artículo 191, apartado 2, del Tratado de Funcionamiento de la Unión Europea, (29) que faculta a las instituciones a adoptar medidas de protección sin tener que esperar a que se demuestre plenamente la realidad y gravedad de tales riesgos cuando subsistan dudas sobre la existencia o alcance de las amenazas para la salud de las personas. El principio de precaución suscita el problema la alarma social por la percepción de los riesgos y la necesidad de conciliar el principio político de cautela con el principio jurídico de la normal tolerancia para garantizar el justo balance ponderado de los derechos en juego. En España la Ley 33/2011, de 4 de octubre General de Salud Pública (BOE 5 octubre 2011) dio entrada a este principio en su artículo 3 al establecer que «Las Administraciones públicas y los sujetos privados, en sus actuaciones de salud pública y acciones sobre la salud colectiva, estarán sujetos a los siguientes principios: …d) Principio de precaución. La existencia de indicios fundados de una posible afectación grave de la salud de la población, aun cuando hubiera incertidumbre científica sobre el carácter del riesgo, determinará la cesación, prohibición o limitación de la actividad sobre la que concurran.» El deber de las Administraciones públicas de protección de la salud contenido en el artículo 27 de la citada norma se define como el conjunto de actuaciones, prestaciones y servicios dirigidos a prevenir efectos adversos que los productos, elementos y procesos del entorno, agentes físicos, químicos y biológicos, puedan tener sobre la salud y el bienestar de la población. En este sentido las Administraciones públicas deben proteger la salud de la población mediante actividades y servicios que actúen sobre los riesgos presentes en el medio y en los alimentos, a cuyo efecto se desarrollarán los servicios y actividades que permitan la gestión de los riesgos para la salud que puedan afectar a la población. Las acciones de protección de la salud se regirán por los principios de proporcionalidad y de precaución, y se desarrollarán de acuerdo a los principios de colaboración y coordinación interadministrativa y gestión conjunta que garanticen la máxima eficacia y eficiencia.

Íntimamente relacionado con la reparación del daño está el posible establecimiento de un régimen de seguro obligatorio de responsabilidad civil para las nuevas tecnologías que utilizan los sistemas de IA, como ya se aplica en España a más de ochocientas actividades. Ante el posible déficit o falta de respuesta del mercado asegurador, dicho sistema podría completarse con un fondo que garantizara la reparación de daños en los casos de ausencia de una cobertura de seguro. El futuro Reglamento no establece previsión alguna al respecto, pese a recomendación hecha en su día por la Resolución del Parlamento Europeo, de 16 de febrero de 2017, destinada a la Comisión sobre normas de Derecho civil sobre robótica.

(1)

Adaptación realizada en el Documento de recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas (2020/2012(INL)),

Comisión de Asuntos Jurídicos, Ponente: Ibán García del Blanco, sobre la base de la definición hecha en la Comunicación de la Comisión Europea COM(2018) 237 final, de 25.4.2018, p. 1. que definía estos sistemas como «sistemas que manifiestan un comportamiento inteligente, al ser capaces de analizar su entorno y pasar a la acción —con cierto grado de autonomía— con el fin de alcanzar objetivos específicos.» en la mencionada comunicación de la comisión al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. «Inteligencia artificial para Europa». Disponible en: https://ec.europa.eu/transparency/regdoc/rep/1/2018/ES/COM-2018-237-F1-ES-MAIN-PART-1.PDF

Ver Texto

(2)

V. NARRILLOS, ESTEFANÍA «El Parlamento muestra el camino para la normativa sobre inteligencia artificial». Disponible en: https://www.europarl.europa.eu/news/es/press-room/20201016IPR89544/el-parlamento-muestra-el-camino-para-la-normativa-sobre-inteligencia-artificial.

Ver Texto

(3)

La Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Banco Central Europeo, al Comité Económico y Social Europeo y al Comité Europeo de las Regiones (Bruselas, 8.3.2018, COM 2018, 109 final) relativo al plan de acción en materia de tecnología financiera: por un sector financiero europeo más competitivo e innovador, se hace eco de «Security trends in the financial services sector», IBM, abril de 2017.En 2016, afirmando que el sector financiero fue objeto de ciberataques con una frecuencia un 65 % mayor que cualquier otro sector. Como consecuencia de ello, se violó la seguridad de más de 200 millones de registros, lo cual supone un incremento del 937 % con respecto a 2015, año en que fueron violados algo menos de 20 millones de registros.

Disponible en: https://eurex.europa.eu/resource.html?uri=cellar:6793c578-22e6-11e8-ac7301aa75ed71a1.0019.02/DOC_1&format=PDF

Ver Texto

(4)

V. al respecto COM(2015) 192 final, «Una Estrategia para el Mercado Único Digital de Europa». JOIN(2017)0450 final, «Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE». Reglamento (UE) n.^o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado

interior y por la que se deroga la Directiva 1999/93/CE. COM/2017/0139 final, «Plan de acción de servicios financieros destinados a los consumidores: mejores productos y una oferta más variada». COM(2017) 292 final, «Comunicación sobre la revisión intermedia del plan de acción para la unión de los mercados de capitales». Finalmente en materia de Seguros véase: Guidelines on information and communication technology security and governance. EIOPA-BoS-20/600, guía sobre riesgos operacionales relacionados con las TIC, que ayudará a las autoridades nacionales de supervisión y a los participantes del mercado sobre la forma en que se aplica la reglamentación relativa a riesgos operacionales relacionadas con las TIC. Disponible en: https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-bos-20-600-guidelines-ict-security-and-governance.pdf

Ver Texto

(5)

V. las directrices éticas para una inteligencia artificial fiable, elaboradas por el Grupo de expertos de alto nivel sobre inteligencia artificial creado por la Comisión Europea. También otras normas técnicas que fomentan las mejores prácticas en gestión de riesgos, como las adoptadas por el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (Cenelec) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI) en Europa, y los estándares internacionales de la Organización Internacional de Normalización (ISO) y el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE).

Ver Texto

(6)

Kearns, Michael y Roth, Aaron. «El algoritmo ético», Ed. LA LEY, octubre 2020.

Ver Texto

(7)

Libro Blanco sobre la inteligencia artificial — un enfoque europeo orientado a la excelencia y la confianza. Bruselas, 19.2.2020 COM(2020) 65 final, página 16.

Ver Texto

(8)

V. Comisión mundial sobre el futuro del trabajo. Organización Internacional del Trabajo, 2019, OIT. «Trabajar para un futuro más prometedor.» Que propugna un «enfoque de la inteligencia artificial "bajo control humano" que garantice que las decisiones finales que afectan al trabajo sean tomadas por seres

humanos y no por algoritmos». Disponible en: https://www.ilo.org/wcmsp5/groups/public/---dgreports/---cabinet/documents/publication/wcms_662442.pdf

Ver Texto

(9)

V. GOÑI SEIN, JOSÉ LUIS, «Defendiendo los derechos fundamentales frente a la inteligencia artificial. Lección inaugural del curso académico 2019-2020.» Universidad Pública de Navarra. Disponible en: https://academicae.unavarra.es/xmlui/bitstream/handle/2454/34886/Leccion%20inaugural%20Castellano%202019-2020.pdf?sequence=1&isAllowed=y

Ver Texto

(10)

«La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos»

Ver Texto

(11)

V. también el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea.

Ver Texto

(12)

V. la Sentencia del Tribunal de Justicia de la Unión Europea, Lindqvist, C-101/01, EU:C:2003:596, apartado 25.

Ver Texto

(13)

Entre ellas resaltamos la Sentencia del Tribunal Supremo, Sala Primera, de lo Civil, número 469/2014 de 17 Sep. 2014, Rec. 3371/2012 que se pronunció sobre un conflicto consistente en la demanda conjunta de un particular y de su partido político alegando intromisión en la intimidad, vulneración de datos de carácter personal, infracción del derecho de sufragio pasivo y responsabilidad civil extracontractual por daño electoral.

Ver Texto

(14)

V. la Sentencia del Tribunal Constitucional Sala Segunda, número 94/1998 de 4 May. 1998, Rec. 840/1995, Ponente: González Campos, julio Diego.

Ver Texto

(15)

«En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de "denegación de servicio" y daños a los sistemas informáticos y de comunicaciones electrónicas.» Consideración 49 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Ver Texto

(16)

Consideración 75 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Ver Texto

(17)

Consideración 146 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Ver Texto

(18)

Sentencia del Tribunal Constitucional, Sala Primera, número 58/2018 de 4 Jun. 2018, Rec. 2096/2016. Ponente: Balaguer Callejón, María Luisa. «6. Este reconocimiento expreso del derecho al olvido, como facultad inherente al derecho a la protección de datos personales, y por tanto como derecho fundamental, supone la automática aplicación al mismo de la jurisprudencia relativa a los límites de los derechos fundamentales. En el fundamento jurídico 11 de la STC 292/2000, reiterado después en el fundamento jurídico 4 de la STC 17/2013, de 31 de enero, se estableció que: «El derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los poderes públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución».

Ver Texto

(19)

Sentencia del Tribunal Constitucional, Pleno, número 292/2000 de 30 Nov. 2000, Rec. 1463/2000. Ponente: González Campos, julio Diego.

Ver Texto

(20)

Sentencia del Tribunal de Justicia de la Unión Europea, Gran Sala, de 13 May. 2014, C-131/2012. Ponente: Ilesic, Marko.

Ver Texto

(21)

La Sentencia del Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 3ª, de 17 Sep. 2020, estableció una jurisprudencia esencial respecto de cuando prevalece el derecho de información sobre el derecho al olvido. «La distinción entre la libertad de expresión y el derecho a la información ha sido reconocida por el Tribunal Constitucional a partir de su diferente objeto y así en numerosas resoluciones ha establecido que el objeto en la libertad de información es la noticia, esto es, los hechos que se consideran noticiables, derecho a informar presenta una doble vertiente, el derecho a comunicar libremente información y a recibir es el que permite comunicar y defender noticias, mientras que en la libertad de expresión el objeto son los pensamientos, ideas, opiniones, concepto más amplio que comprende las apreciaciones y juicios de valor.»

Ver Texto

(22)

V. CAMPANILLAS CIAURRIZ, JORGE, «Nuevas obligaciones en el Reglamento Europeo de Protección de Datos», Editorial LA LEY, 17858/2017.

Ver Texto

(23)

V. BARRIO ANDRÉS, MOISÉS, «Los principios generales del Derecho de los Robots». Derecho Digital e Innovación (Wolters Kluwer). Revista N.^o: Primer trimestre de 2019: «Ahora bien, estos preceptos no resuelven del todo los problemas que se plantean cuando los robots infringen ciertas libertades humanas... En consecuencia, es importante establecer un verdadero principio robótico de protección de la libertad humana para evitar que un robot pueda imponer o restringir un determinado comportamiento a una persona… Por lo tanto, este principio general exige que el robot debe respetar la autonomía de toma de decisiones del hombre… Esto supone que un ser humano siempre debería ser capaz de obligar a un robot a obedecer sus órdenes, especialmente en los casos de robots asistenciales o incluso en los vehículos autónomos.»

Ver Texto

(24)

DE LA NUEZ SANCHEZ-CASCADO, ELISA se cuestiona en «Inteligencia artificial y transparencia», Derecho Digital e Innovación, N.^o 5, Sección Doctrina, Segundo trimestre de 2020, Wolters Kluwer. Diario La Ley, LA LEY 6786/2020: «¿Quién responderá si las decisiones tomadas en base a la utilización de inteligencia artificial no son las más adecuadas? ¿Quién responderá por los perjuicios ocasionados?¿Tiene la inteligencia artificial obligaciones? ¿Cómo podemos prevenir sus sesgos? ¿Cómo podemos conocer cómo se han tomado las decisiones para determinar, en su caso, las correspondientes responsabilidades?»

Ver Texto

(25)

Resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho Civil sobre robótica. Normas de Derecho civil sobre robótica. Parlamento Europeo (2015/2013(INL)) (2014-2019). Disponible en: https://www.europarl.europa.eu/doceo/document/TA-8-2017-0051_ES.html

Ver Texto

(26)

En España, Real Decreto Legislativo 1/2007.

Ver Texto

(27)

V. el considerando 13 y 16 de la Propuesta de Reglamento del Parlamento Europeo y del Consejo (documento de la sesión 8.10.2020 A9-0186/2020) sobre los principios éticos para el desarrollo, la implementación y el uso de la inteligencia artificial, la robótica y las tecnologías del informe con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas (2020/2012(INL)) Comisión de Asuntos Jurídicos, Ponente: Ibán García del Blanco. Disponible en: https://www.europarl.europa.eu/doceo/document/A-9-2020-0186_ES.pdf

Ver Texto

(28)

Consideraciones 53 y 54 de la Resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica.

Ver Texto

(29)

V. también el artículo 174 Tratado constitutivo de la Comunidad Europea.

Ver Texto